Bilgi Sistemleri Güvenliği

Varlık Envanteri, Sahiplik ve Sınıflandırma

Varlık Envanteri, Sahiplik ve Sınıflandırma

Bilgi teknolojisi varlıklarının etkili biçimde yönetilebilmesi için kurumun elinde hangi varlıkların bulunduğunu bilmesi gerekir. Ancak yalnızca saymak yeterli değildir. Bu varlıkların kime ait olduğu, hangi düzeyde önemli olduğu, hangi bilgilere ev sahipliği yaptığı, hangi lisanslarla çalıştığı ve ne ölçüde kritik olduğu da bilinmelidir. Kitabın bu bölümünde, varlık envanterinin oluşturulması, güncel tutulması, sahiplik yaklaşımı, lisans takibi, veri ve bilginin sınıflandırılması ile kritik varlık ve kritik veri kavramları ele alınmaktadır. Bu başlık, bilgi güvenliği ile varlık yönetimi arasındaki bağı somutlaştıran temel bölümlerden biridir.

1) Varlık Envanteri Neden Gerekir?

Kitaba göre kurumun tüm bilgi sistemleri varlıklarının envanteri oluşturulmuş olmalıdır. Bu ifade, varlık yönetiminin temel taşıdır. Çünkü kurum elindeki varlıkları tanımadan bunları koruyamaz, izleyemez, risklerini değerlendiremez ve yaşam döngülerini yönetemez.

Envanter, hangi varlığın nerede bulunduğunu, ne amaçla kullanıldığını ve hangi kurumsal çerçeve içinde değerlendirildiğini gösteren temel kayıt yapısıdır. Bu nedenle envanter, yalnızca sayısal bir liste değil, kurumsal görünürlük sağlayan yönetim aracıdır.

Güçlü envanter yapısı olmadan varlık yönetimi, bilgi güvenliği ve risk yönetimi eksik kalır.

2) Envanterde Yer Alması Beklenen Unsurlar

Kitapta tüm varlıklara ilişkin asgari envanter bilgisinin neler olması gerektiği sayılmaktadır. Buna göre envanterde en azından; varlığın sahibi, içinde veya üzerinde işlendiği bilgi türleri, bünyesinde kişisel veri ve önemli bilgi barındırıp barındırmadığı, kritik olup olmadığı, kullanım amacı, yazılımsa lisans durumu, kullanılan lisansların bitiş tarihleri ve kullanım yeri gibi bilgiler yer almalıdır.

Bu yaklaşım, envanterin sadece cihaz adı ve seri numarası içeren dar bir kayıt olmadığını gösterir. Envanter, varlığın güvenlik, lisans, kullanım ve kritik değer boyutunu birlikte taşıyan kapsamlı bilgi yapısıdır.

Böylece kurum varlığın yalnızca fiziksel varlığını değil, bilgi güvenliği açısından taşıdığı önemi de görebilir.

3) Envanterin Güncel Tutulması

Kitapta envanter bilgileriyle ilgili en önemli hususlardan birinin, bunların güncel tutulmasının sağlanması olduğu vurgulanmaktadır. Bu vurgu çok önemlidir. Çünkü bir envanterin oluşturulmuş olması tek başına yeterli değildir. Eğer bilgiler güncel değilse, envanter kuruma yanlış güven hissi verebilir.

Yeni varlıkların eklenmesi, mevcut varlıkların yer değiştirmesi, kullanım durumlarının değişmesi, lisans sürelerinin dolması veya varlığın devreden çıkması gibi her değişiklik envantere yansıtılmalıdır. Aksi halde hem güvenlik hem operasyonel yönetim hem de denetim açısından hatalı sonuçlar doğabilir.

Bu nedenle güncellik, envanter yönetiminin ayrılmaz unsurudur.

4) Varlık Sahipliği Kavramı

Kitapta her varlık için bir sahip belirlenmesi gerektiği açıkça belirtilmektedir. Sahiplik burada hukuki mülkiyet anlamında değil, varlıktan sorumlu kişi veya rol anlamında kullanılmaktadır. Varlığın bir sahibinin olması, onunla ilgili kararların, kontrollerin ve sorumlulukların sahipsiz kalmamasını sağlar.

Varlık sahibi; varlığın uygun şekilde kullanımı, korunması, güncelliği, sınıflandırılması ve gerektiğinde risklerinin değerlendirilmesi açısından önemlidir. Bu nedenle sahiplik yapısı, envanter yönetiminin tamamlayıcı unsurudur.

Sahipsiz varlık, kurumsal açıdan zayıf yönetilen varlık anlamına gelir.

5) Sahipliğin Yönetim Açısından Önemi

Varlık sahipliği, özellikle bilgi güvenliği ve risk yönetimi bakımından kritik öneme sahiptir. Çünkü bir varlıkla ilgili karar verilmesi gerektiğinde, bu kararın kim tarafından yönlendirileceği açık olmalıdır. Sahiplik yapısı yoksa sınıflandırma, uygun kullanım, erişim kararları, bakım veya kullanım dışı bırakma gibi konularda belirsizlik oluşur.

Ayrıca varlık sahibinin belirli olması, denetim ve değerlendirme süreçlerinde de hesap verebilirlik sağlar. Böylece varlıkla ilgili sorumluluklar kişisizleşmez ve kurumsal yapı içinde izlenebilir hale gelir.

Bu nedenle sahiplik, envanter kaydının tamamlayıcı ve yönetsel boyutudur.

6) Lisansların Takibi

Kitapta özellikle yazılım varlıkları için lisans durumunun ve kullanılan lisansların bitiş tarihlerinin envanterde yer alması gerektiği belirtilmektedir. Bu vurgu, lisans takibinin varlık yönetiminin önemli bileşenlerinden biri olduğunu göstermektedir.

Lisans bilgisinin eksik veya güncel olmaması hem hukuki hem mali hem de operasyonel risk yaratabilir. Lisans süresi dolmuş bir yazılımın kullanılmaya devam edilmesi, destek ve güvenlik güncellemesi alamama, mevzuata veya sözleşme hükümlerine aykırılık ve güvenlik açıklarının artması gibi sorunlara yol açabilir.

Bu nedenle lisans takibi, sadece ticari kayıt değil, aynı zamanda bilgi güvenliği ve uyum boyutu taşıyan bir konudur.

7) Veri ve Bilgi Sınıflandırma Mantığı

Kitapta bilginin sınıflandırılması başlığı altında, veri veya bilginin önem ve hassasiyetine göre sınıflandırılması gerektiği belirtilmektedir. Sınıflandırmanın amacı, her bilgiye aynı düzeyde değil; önemine göre uygun koruma yaklaşımı uygulamaktır.

Bu yaklaşım, bilgi güvenliği kaynaklarının etkin kullanımını da destekler. Çünkü düşük önemdeki bilgiyle kritik ve hassas bilgiyi aynı koruma düzeyine tabi tutmak her zaman doğru olmayabilir. Bilginin sınıflandırılması sayesinde hangi veri veya bilgi için hangi tür koruma, erişim ve kullanım kuralının gerektiği daha net belirlenebilir.

Böylece sınıflandırma, hem güvenlik hem yönetsel kontrol açısından kuruma sistematik yaklaşım sağlar.

8) Sınıflandırma Kriterleri

Kitapta bilginin sınıflandırılmasında asgari olarak bilginin kuruma veya paydaşlara getireceği önem, hassasiyet, kullanımı ve erişimi ile ilgili kurumsal önceliklerin dikkate alınması gerektiği belirtilmektedir. Bu kriterler, sınıflandırmanın keyfi değil, belirli esaslara dayalı yapılması gerektiğini gösterir.

Başka bir ifadeyle sınıflandırma, sadece “önemli-önemsiz” ayrımı değildir. Bilginin kurum içindeki etkisi, dış paydaşlarla ilişkisi, erişim ihtiyacı ve hassasiyet düzeyi birlikte düşünülmelidir. Böylece sınıflandırma kararı daha tutarlı ve uygulanabilir hale gelir.

Bu kriterler aynı zamanda kritik veri ve kritik varlık kavramlarının da temelini oluşturur.

9) Kritik Varlık Kavramı

Kitapta envanterde varlığın kritik olup olmadığının yer alması gerektiği açıkça belirtilmektedir. Bu ifade, her varlığın kurumsal etki bakımından aynı değere sahip olmadığını gösterir.

Kritik varlık; yokluğu, bozulması, ele geçirilmesi veya çalışmaması halinde kurum üzerinde daha yüksek etki doğurabilecek varlık olarak düşünülebilir. Bu etki operasyonel, hukuki, mali veya itibar boyutunda olabilir. Bu nedenle kritik varlıkların belirlenmesi, öncelikli koruma ve yönetim yaklaşımı açısından önem taşır.

Kritiklik bilgisinin envantere işlenmesi, risk yönetimi ve bilgi güvenliği açısından büyük değer taşır.

10) Kritik Veri ve Önemli Bilgi Kavramı

Kitapta envanterde varlığın bünyesinde kişisel veri ve önemli bilgi barındırıp barındırmadığı bilgisinin yer alması gerektiği belirtilmektedir. Bu vurgu, kritik veri veya önemli bilgi kavramının varlık envanteriyle doğrudan ilişkili olduğunu gösterir.

Bir varlığın taşıdığı bilgi onu daha kritik hale getirebilir. Özellikle kişisel veri, hassas bilgi veya kurum için önemli bilgiler barındıran varlıkların güvenlik gereksinimi daha yüksek olabilir. Bu nedenle sadece cihazın kendisi değil, üzerinde işlenen ve saklanan veri de değerlendirme konusu olmalıdır.

Böylece envanter, donanım listesi olmanın ötesine geçerek bilgi odaklı yönetim aracına dönüşür.

11) Etiketleme ve Sınıflandırma İlişkisi

Kitapta varlıkların ve bilgilerin uygun şekilde etiketlenmesinin gerektiği belirtilmektedir. Etiketleme, sınıflandırma kararının görünür hale gelmesini ve uygulamaya yansımasını sağlar. Yani sınıflandırma zihinsel veya kayıt düzeyinde kalmamalı; varlığın üzerinde veya ilgili sistemlerde görünür karşılık bulmalıdır.

Etiketleme sayesinde kullanıcılar, ilgili varlığın veya bilginin hangi düzeyde önem taşıdığını, nasıl ele alınması gerektiğini ve hangi güvenlik kurallarının geçerli olduğunu daha kolay anlayabilir. Bu nedenle sınıflandırma ile etiketleme birbirini tamamlayan iki yaklaşımdır.

Doğru etiketleme, güvenlik kültürünün sahaya yansıyan unsurlarından biridir.

12) Envanter, Sahiplik ve Sınıflandırmanın Birlikte Önemi

Envanter, sahiplik ve sınıflandırma birbirinden ayrı düşünülmemelidir. Envanter varlığın ne olduğunu ve hangi özellikleri taşıdığını gösterir; sahiplik bu varlıktan kimin sorumlu olduğunu belirler; sınıflandırma ise varlığın veya üzerindeki bilginin hangi koruma seviyesine ihtiyaç duyduğunu ortaya koyar.

Bu üç yapı birlikte çalıştığında kurum, bilgi sistemleri varlıklarını daha bilinçli, daha güvenli ve daha denetlenebilir biçimde yönetebilir. Bunlardan birinin eksikliği, diğerlerinin etkisini de zayıflatır. Bu nedenle bu konu, bilgi sistemleri güvenliğinin hem operasyonel hem yönetsel omurgalarından biridir.

Final Özet (Sınavlık)

• Kurumun tüm bilgi sistemleri varlıklarının envanteri oluşturulmuş olmalıdır.
• Envanterde varlığın sahibi, kullanım amacı, kullanım yeri, işlenen bilgi türü, kritikliği ve lisans durumu yer almalıdır.
• Envanterin güncel tutulması zorunludur.
• Her varlık için bir sahip belirlenmelidir.
• Yazılım varlıklarında lisans durumu ve lisans bitiş tarihleri takip edilmelidir.
• Bilgi ve veriler önem ve hassasiyetine göre sınıflandırılmalıdır.
• Sınıflandırmada önem, hassasiyet, kullanım ve erişim kriterleri dikkate alınır.
• Kritik varlık bilgisi envanterde yer almalıdır.
• Kişisel veri ve önemli bilgi barındıran varlıklar daha yüksek önemde değerlendirilebilir.
• Etiketleme, sınıflandırma kararının sahada görünür hale gelmesini sağlar.